Bereit für DORA? Was das Informationsregister für Finanzunternehmen bedeutet
So setzen Sie die neuen BaFin-Anforderungen zur digitalen Resilienz bis zum 17. Januar 2025 um
Auf der BaFin-Veranstaltung „IT-Aufsicht im Finanzsektor“ am 26.09.2024 drehte sich alles um die anstehenden DORA-Vorgaben, die bis zum 17.01.2025 von Finanzunternehmen umgesetzt werden müssen. Dabei wurden sowohl zentrale Themen zur digitalen operationalen Resilienz und zur Überwachung von IKT-Dienstleistern behandelt als auch viele häufig gestellte Fragen beantwortet und offene Punkte geklärt. Besonders im Fokus stand das Informationsregister.
Auf der BaFin-Veranstaltung „IT-Aufsicht im Finanzsektor“ am 26.09.2024 drehte sich alles um die anstehenden DORA-Vorgaben, die von Finanzunternehmen bis zum 17.01.2025 umgesetzt werden müssen. Dabei wurden sowohl zentrale Themen zur digitalen operationalen Resilienz und zur Überwachung von IKT-Dienstleistern behandelt als auch viele häufig gestellte Fragen beantwortet und offene Punkte geklärt. Besonders im Fokus stand das Informationsregister.
msg for banking hat am Online-Vortrag der BaFin teilgenommen. In diesem Beitrag haben wir die wichtigsten Takeaways sowie weitere nützliche Informationen zusammengestellt, die einen erfolgreichen Start in die Operationalisierung des Informationsregisters ermöglichen.
Was ist das Informationsregister?
Das Informationsregister ist ein zentrales Dokumentationsinstrument im Rahmen von DORA (Digital Operational Resilience Act), das Finanzunternehmen verpflichtet, alle relevanten Informationen über die Nutzung von IKT-Dienstleistungen und deren Unterauftragnehmer zu erfassen. Der Hauptzweck dieses Registers liegt in der transparenten Erfassung und Organisation aller vertraglichen Beziehungen und Abhängigkeiten, um Risiken, die durch externe Dienstleister entstehen können, nachvollziehbar darzustellen und die digitale operationale Resilienz des Unternehmens sicherzustellen.
Kritische oder wichtige Funktionen
Ein zentrales Thema bei der Umsetzung des Informationsregisters ist die Identifikation und der Schutz kritischer oder wichtiger Funktionen in Finanzunternehmen. Es geht darum, klar zu definieren, welche Abläufe und Prozesse im Unternehmen so entscheidend sind, dass ihr Ausfall die finanzielle Stabilität, die regulatorische Konformität oder die Geschäftskontinuität gefährden können.
Der Digital Operational Resilience Act verlangt, dass Unternehmen zwischen allgemeinen IKT-Dienstleistungen und solchen, die tatsächlich kritische oder wichtige Funktionen unterstützen, unterscheiden.
Es reicht nicht aus, einfach alle IKT-Dienstleistungen zu dokumentieren. Der Fokus muss auf denjenigen liegen, die essenziell für den Betrieb sind. Nur so können Unternehmen sicherstellen, dass sie Risiken frühzeitig erkennen und ihnen gezielt begegnen können.
Die Finanzaufsicht hat betont, wie wichtig es ist, eine präzise und fundierte Bewertung vorzunehmen, um den Überblick über kritische Bereiche zu behalten. Diese Bewertung liegt bei den Unternehmen selbst und wird im Rahmen der Risikoanalyse durchgeführt. Hierfür nennt das RTS TPPol und RTS-E SUB konkretisierende Kriterien, die in der Risikoanalyse zu überprüfen und gegebenenfalls zu ergänzen sind.
Kette der Unterauftragsvergabe
Die Kette der Unterauftragsvergabe zeigt, warum die Unterscheidung zwischen kritischen und nicht kritischen Funktionen so wichtig ist. Wird eine kritische Funktion von einem externen IKT-Dienstleister unterstützt, muss nicht nur dieser Hauptdienstleister erfasst werden. Es müssen auch alle weiteren Subunternehmen dokumentiert werden, die in der Lieferkette involviert sind, da diese indirekt zur Unterstützung der kritischen Funktion beitragen können. Diese Erfassung erfolgt bis in die letzten Rangstufen der Lieferkette.
Die BaFin betont hierbei den proportionalitäts- und risikobasierten Ansatz, der in den DORA-Vorgaben definiert ist. Alle Unterauftragnehmer, die die IKT-Dienstleistung wirksam unterstützen (underpin effectively) und damit eine kritische oder wichtige Funktion absichern, müssen ins Informationsregister aufgenommen werden. Dadurch lassen sich potenzielle Risiken in der gesamten Lieferkette erkennen und gezielt steuern.
Ausnahmen gelten für IKT-Dienstleister, die innerhalb eines Konzerns tätig sind, aber auch Dienstleistungen außerhalb der Gruppe erbringen. Solche Fälle müssen ebenfalls im Informationsregister erfasst werden, selbst wenn die bereitgestellten Leistungen keine kritischen Funktionen direkt unterstützen. So behalten Unternehmen stets den Überblick über ihre Abhängigkeiten und können Maßnahmen zur Risikobehandlung einleiten.
Abgrenzung: IKT-Dienstleistung vs. Auslagerung
Die BaFin hat ein kompaktes Modell entwickelt, das Unternehmen hilft, IKT-Dienstleistungen im Sinne der DORA-Verordnung präzise zu definieren. Da oft Unsicherheiten bestehen, welche Dienstleistungen und Verträge genau ins Informationsregister aufgenommen werden müssen, dient dieses Modell als wichtige Orientierungshilfe in Form eines Fragenkataloges.
Um eine Dienstleistung als IKT-Dienstleistung nach dem Digital Operational Resilience Act zu klassifizieren, müssen mehrere Kriterien erfüllt sein: Die Dienstleistung muss digitaler Natur oder ein Datendienst sein und über IKT-Systeme bereitgestellt werden. Sie muss entweder internen oder externen Nutzern zur Verfügung stehen und dauerhaft für die Geschäftstätigkeit des Unternehmens notwendig sein.
Diese Kriterien schließen temporäre Dienste aus, die nicht entscheidend für die langfristige Stabilität des Unternehmens sind. Zudem wird geprüft, ob die Dienstleistung von einem Drittanbieter bereitgestellt wird. Wenn all diese Kriterien erfüllt sind, gilt die Dienstleistung als IKT-Dienstleistung nach DORA und ist relevant für das IKT-Drittparteienrisikomanagement.
Abbildung 1: Grafik der BaFin "Abgrenzung IKT-Dienstleistungen"
Wichtig ist, dass der Begriff IKT-Dienstleistungen weit gefasst ist und sämtliche vertraglichen Vereinbarungen über IT-gestützte Leistungen umfasst, die ein Unternehmen bezieht – unabhängig davon, ob sie kritisch oder nicht kritisch für das Geschäft sind. Dieser umfassende Ansatz unterscheidet sich von der bisherigen Auslagerungswelt gemäß AT9 MaRisk, die sich vor allem auf zentrale oder risikorelevante Auslagerungen konzentriert.
Im Rahmen von DORA werden alle IKT-Dienstleistungen erfasst, wobei der Fokus darauf liegt, digitale operationale Resilienz durch eine vollständige Übersicht über alle externen IT-Dienstleister sicherzustellen. Zwar deckt der Digital Operational Resilience Act auch kritische oder wesentliche Funktionen ab, die eine besondere Aufmerksamkeit erfordern, jedoch müssen alle IKT-Dienstleistungen dokumentiert werden – unabhängig davon, ob sie kritische Geschäftsprozesse unterstützen oder nicht.
Im Unterschied dazu gibt es nach wie vor Auslagerungen, die nicht IT-bezogen sind und somit außerhalb des DORA-Informationsregisters geführt werden. Diese, wie etwa die Bereitstellung von Rechtsgutachten oder Versorgungsleistungen, bleiben im separaten Auslagerungsregister dokumentiert, da sie keine unmittelbare Relevanz für die digitale Resilienz des Unternehmens haben.
Erstellung und Verwaltung des Informationsregisters
Das herkömmliche Auslagerungsregister ist relativ übersichtlich und kompakt aufgebaut. Mit etwa 50 Datenfeldern und einer leicht nachvollziehbaren Tabellenstruktur lassen sich hier die wichtigsten Auslagerungen festhalten. Die Datenmenge bleibt oft im überschaubaren Bereich – meist reichen einige Dutzend, um alle relevanten Informationen abzubilden. Daher lässt sich dieses Register meist manuell pflegen, ohne dass ein erheblicher Verwaltungsaufwand entsteht.
Im Gegensatz dazu ist das Informationsregister weitaus komplexer gestaltet. Es basiert auf einer relationalen Struktur, die aus über 15 vernetzten Tabellen und einer Vielzahl von Datenelementen besteht. Diese Verbindungen ermöglichen eine detaillierte und umfassende Erfassung der Daten, erhöhen jedoch gleichzeitig die Anforderungen an das Management der Einträge.
Da das Informationsregister sämtliche IKT-Dienstleistungen abdecken muss, kann das Datenvolumen erheblich anwachsen und sich auf hunderte bis weit mehr als tausend Zeilen erstrecken. Um die Genauigkeit und Aktualität der Daten sicherzustellen, sind hier automatisierte Systeme unverzichtbar, da eine manuelle Verwaltung bei langfristiger Befüllung des Registers nicht praktikabel wäre.
Die relationalen Verbindungen zwischen den Tabellen sorgen dafür, dass alle Datenpunkte miteinander verknüpft sind und ein vollständiges Bild entsteht, das zeigt:
- welche Einheiten (zum Beispiel Abteilungen oder Tochtergesellschaften) des Unternehmens für welche IKT-Dienstleistungen verantwortlich sind,
- welche Verträge mit IKT-Dienstleistern bestehen und welche kritischen und wichtigen Funktionen diese unterstützen,
- welche Subunternehmer in die Lieferkette eingebunden sind und
- wie die Überwachung und Bewertung dieser Dienstleistungen organisiert ist.
Beide Register müssen ab dem 17.01.2025 parallel geführt werden, wobei die finale Verabschiedung des Implementing Technical Standard (ITS) „zur Erstellung einer Standardvorlage für das Informationsregister“ noch nicht finalisiert ist. Für Unternehmen, die Teil eines Konsolidierungskreises sind, ist zudem eine Gruppensicht erforderlich, um die Daten konsistent und umfassend abzubilden.
Meldung und Fristen
Die BaFin hat alle relevanten Unternehmen kontaktiert, um sicherzustellen, dass sie sich für die Meldung des Informationsregisters im MVP-Portal registrieren. Unternehmen, die bereits registriert sind, müssen sich nicht erneut anmelden, jedoch ist eine Freischaltung für das Fachverfahren erforderlich. Die Rückmeldefrist endete am 18.10.2024. Darüber hinaus muss das Informationsregister pro Jahr aktualisiert eingereicht werden, um den regulatorischen Anforderungen gerecht zu werden.
Fazit
Ein frühzeitiger Beginn der Befüllung und Verwaltung des Informationsregisters ist entscheidend, um den Überblick über vertragliche Vereinbarungen und die eingebundenen IKT-Dienstleister zu behalten. Der bereits abgeschlossene Dry-Run bot Unternehmen die Gelegenheit, das Register in einer Testphase zu simulieren und mögliche Fehler frühzeitig zu identifizieren. Auch wenn der Testlauf nun beendet ist, sind die Ergebnisse öffentlich zugänglich.
Unternehmen sollten diese Erkenntnisse nutzen, um ihre Prozesse zu optimieren und sicherzustellen, dass sie optimal auf den Stichtag im Januar 2025 vorbereitet sind. Die frühzeitige Befüllung des Registers und die Anmeldung im MVP-Portal sind die besten Schritte, um den Anforderungen gerecht zu werden.
Sie müssen sich anmelden, um einen Kommentar zu schreiben.